Sitem hacklendi (yardım)

Question

Sitemdeki veri ekleme ve sorgulama ile ilgili işlemleri aşağıdaki yöntemleri kullanıyorum. bu yöntemler SQL Injeksiyonla sitemin hacklenmesine neden olabilirmi ? çünkü sitem hacklendi ve siteyi hackleyin kişi dosyalara müdahale etmeden veritabanına ulaşmış ve veritabanındaki tablolara eklediği sayfa yönlendirme koduyla sitemi free hosttaki bir hack indexine yönlendirmiş.

aşağıdaki kodlar SQL Injeksiyon imkan veriyorsa kodlarımı nasıl değiştirmem lazım


$sql = mysql_query("SELECT * FROM tablo", $baglanti) or die("Hatasi olustu");
$row_sql = mysql_fetch_assoc($sql);$sql = mysql_query("INSERT INTO tablo (adi_soyadi, email, site, url, kategori) VALUES ('$adi_soyadi', '$email', '$site', '$url', '$kategori')", $baglanti) or mysql_error();

enc0der · Answer

$adi_soyadi  formdan gelen POST yada GET degerlerinide yaz
yani
$adi_soyadi =$_POST['adi_soyadi'];
dediysen tehlikeli 
kodların tamamını ver

medesan · Answer

kodu öm olarak yolladım...

enc0der · Answer

buraya yazki  bilmeyenlerde aynı hataları yapmasın kardeş

caqlayan · Answer

evet merak ettim ben de neden olmuş

medesan · Answer

evet, arkadaşlar benimle aynı hataya düşmemek için GET veya POST metoduyla çektiğiniz verileri değişkene atamayı şu şekilde yapın. enazından hacklenme olasılığını bir kademe azaltıyor. 

benim gibi bilmeyenler için strip_tags(); fonksiyonu form alanlarından <> tagları yollamayı engelliyor...

enc0der  kardeşime yardımlarından dolayı ayrıca teşekkür...

$adi_soyadi 	= strip_tags($_POST['adi_soyadi']);

caqlayan · Answer

hm evet taglar çok önemli 
geçmiş olsun

Selcuk · Answer

medesan adlı üyeden alıntı:						mesajı görüntüle									evet, arkadaşlar benimle aynı hataya düşmemek için GET veya POST metoduyla çektiğiniz verileri değişkene atamayı şu şekilde yapın. enazından hacklenme olasılığını bir kademe azaltıyor. 

benim gibi bilmeyenler için strip_tags(); fonksiyonu form alanlarından <> tagları yollamayı engelliyor...

enc0der  kardeşime yardımlarından dolayı ayrıca teşekkür...

$adi_soyadi 	= strip_tags($_POST['adi_soyadi']); 		sadece strip_tags yeterli değildir.Şu ihtimalde vardır ki kişi sizin scriptinizdeki sql injection sayesinde panele sızıpda bu veriyi eklemiş olabilir.Taglar engellersiniz ama sql kapanmadıkça tamamen korunamazsınız.
SQL injection açığını kapatmak için ise numeric olarak sorgulamalarınızı oluşturuyor iseniz intval(); kullanmalısınız ya da string olarak oluşturuyorsanız mysql_espace_string(); kullanmalısınız.

bu dediklerimde tam yeterli olmayabilir.bu seferde blind sql olayı var  biraz karışık işler yani bunlar

antipos · Answer

slcQ adlı üyeden alıntı:						mesajı görüntüle									sadece strip_tags yeterli değildir.Şu ihtimalde vardır ki kişi sizin scriptinizdeki sql injection sayesinde panele sızıpda bu veriyi eklemiş olabilir.Taglar engellersiniz ama sql kapanmadıkça tamamen korunamazsınız.
SQL injection açığını kapatmak için ise numeric olarak sorgulamalarınızı oluşturuyor iseniz intval(); kullanmalısınız ya da string olarak oluşturuyorsanız mysql_espace_string(); kullanmalısınız.

bu dediklerimde tam yeterli olmayabilir.bu seferde blind sql olayı var  biraz karışık işler yani bunlar  		onun yerine açığı kapatmak en mantıklısı deilmi selçuk.ondan sonra numeric veya intval'e alabilir.açık olmadıktan sonra blind değil kralını kassalar sorunsal olmaz.

Kardeş veritabanından sitene çağırdığın sayfaların sorgularını nasıl yapıyosun.tırnak işaretlerine vb dikkat.

enc0der · Answer

kodlarını tamamen inceledim selcuk
sadece ekleme yapan bir sayfa intval yada is_numeric lik bir sorun yok